【基础篇】————17、隐匿攻击之Website

最新推荐文章于 2024-03-29 16:33:50 发布
翻译 最新推荐文章于 2024-03-29 16:33:50 发布 · 734 阅读 · 3

红队入侵需通过合法流量覆盖任意命令,David Kennedy开发的TrevorC2命令和控制工具可实现此功能。它能通过合法HTTP流量执行命令,有基于Python和PowerShell的植入物,命令通过HTTP/S协议加密发送,加密命令插入虚假网站的oldcss参数内,流量检查可见命令通过合法HTTP流量覆盖。

通过合法流量覆盖任意命令是每个红队入侵的必要条件。大多数命令和控制工具正在实施一种秘密技术,它允许红队隐藏他们的活动,因为数据泄露是目标的一部分。

David Kennedy开发了一个名为TrevorC2的命令和控制工具,可用于通过合法的HTTP流量执行命令。需要将trevorc2_server.py上的URL属性修改为所选的网站。

                                                    TrevorC2 - 服务器配置

植入物(trevorc2_client.py或trevorc2_client.ps1)具有SITE_URL属性。这需要使用命令和控制服务器的IP地址进行更改。当命令和控制服务器文件运行时,它将开始克隆网站。

                                                TrevorC2 - 服务器

有两种植入物可供使用,一种基于python,另一种植入PowerShell。从执行植入的那一刻起,将与命令和控制服务器建立连接。

                                         TrevorC2 - PowerShell Implant

命令可以从服务器发送到客户端:

                                                             TrevorC2 - 命令

命令将通过HTTP / S协议加密发送。TrevorC2使用AES加密和以下密码。加密命令将插入oldcss参数内的虚假网站:

                                     TrevorC2 - 加密密钥和数据位置

假网站将与命令和控制服务器托管在同一系统中,它看起来与原始网站完全一样。

                                TrevorC2 - 克隆网站

但是,检查源代码时,oldcss参数将包含加密命令。

通过进行流量检查,可以看出执行的命令是通过合法的HTTP流量覆盖的。

参考

https://www.trustedsec.com/2017/10/trevorc2-legitimate-covert-c2-browser-emulation/
https://github.com/trustedsec/trevorc2

 

100天精通Python(基础)——第17天:类属性和类方法
努力让自己发光,对的人才能迎着光而来
12-30 11万+
????前言 小袁开始更新Python系列教学文章了,从零带你入门,期待的你的关注❤️❤️ 第一文章:Python基础(一):python和vscode环境安装 第二文章:Python基础(二):入门必备 第三文章:Python基础(三):运算符 第四文章:Python基础(四):数据类型 第五文章:Python基础(五):基础语句 第六文章:Python基础(六):函数 第七文章:Python基础(七):高级变量类型复习 第八文章:Python基础(八):名片管理系统 第九文章:Pyt
学习C语言基础——初识指针
最新发布
xupy019的博客
05-13 1517
指针or地址???
基础】————5、隐匿攻击之DNS
Fly_鹏程万里
05-26 846
隐匿攻击之DNS 即使在最受限制的环境中,也应该允许DNS流量解析内部或外部域。这可以用作目标主机和命令和控制服务器之间的通信通道。命令和数据包含在DNS查询和响应中,因此很难检测,因为任意命令隐藏在合法流量中。 使用Dnscat2可以实现这种技术,Dnscat2可以通过DNS协议创建命令和控制通道。此工具使用基于C的客户端(植入),它需要在目标上执行,以便服务器接收连接。流量以加密形式传输,...
隐匿攻击行为
weixin_46239998的博客
04-24 1204
攻击行为隐匿
渗透测试入门3之隐匿攻击
鹿鸣天涯
04-04 854
渗透测试入门3之隐匿攻击 1. Command and Control ICMP :https://pentestlab.blog/2017/07/28/command-and-control-icmp/ DNS :https://pentestlab.blog/2017/09/06/command-and-control-dns/ DropBox :https://pentestlab....
内网渗透系列:隐匿攻击方法
闵行小鱼塘
07-26 1744
学习并小结下各种隐匿通道方法
UE5材质基础——超详细!!!
一只飞程序的博客
03-29 2万+
UE5材质主要节点——知识点配图介绍,一文读懂主材质节点
MATLAB基础——基本语法
热门推荐
yun_gao_的博客
11-02 3万+
MATLAB基础——基本语法一、数据类型与变量数据类型变量二、矩阵字符串三、运算四、MATLAB常用函数五、矩阵分析与处理六、程序设计 MATLAB ————Matrix laboratory 一般操作: 1.操作界面:主窗口,命令窗口,工作空间窗口,当前目录窗口和搜索路径 2.帮助系统: help命令 lookfor命令 help 函数名 help(‘函数名’) lookfor 函数名 %lookfor命令更加宽松,检索所有m文件返回包含函数名的全部函数 3.注释:%这是一条注释 4.语句后加;
动态调整的基础——配置中心
02-26
在之前的一《解耦神器——统跳协议和Rewrite引擎》中提到了我们的配置中心。这文章就跟大家聊一聊手机天猫在上的心路历程。最初移动App就是一个老老实实的App,一切都硬编码在客户端,只有业务数据是从API而来。...
TrevorC2是一个合法的网站,在客户端和服务端之间架设通信通道,用于隐蔽的命令执行-python
06-18
TrevorC2是一个合法的网站(可浏览),在客户端和服务端之间架设通信通道,用于隐蔽的命令执行 trevorc2 TrevorC2 - 通过 HTTP 上的合法行为进行命令和控制 作者:Dave Kennedy (@HackingDave) 网站:https://www.trustedsec.com 请注意,这是一个非常早的版本 - 很快就会添加大量随机化和加密。 TrevorC2 是一种客户端/服务器模型,用于通过通常可浏览的网站屏蔽命令和控制。 由于时间间隔不同并且不使用 POST 请求进行数据传输,因此检测变得更加困难。 ,.'''''。 ... ''''', .' ',' ,.MMMM;.;' '。 ;; ;MMMMMMMM; ;;' :'M: ;MMMMMMMMMM;. :M': : M: MMMMMMMMMMMMM: :M 。 .' M: MMMMMMMMMMMMM: :M。 ; ; :M' :MMMMMMMMMMMM' 'M: : :M: .;"MMMMMMMMM":;. ,M: : : ::,MMM;.M":::M.;MMM ::'
Python-TrevorC2是一个合法的网站在客户端和服务端之间架设通信通道用于隐蔽的命令执行
08-10
TrevorC2是一个合法的网站(可浏览),在客户端和服务端之间架设通信通道,用于隐蔽的命令执行
trevorc2:TrevorC2是合法的网站(可浏览),可通过隧道传输客户端服务器通信以执行隐蔽命令
04-06
特雷弗2 TrevorC2-通过HTTP的合法行为进行命令和控制 撰写者:戴夫·肯尼迪(@HackingDave)网站: ://www.trustedsec.com 请注意,这是一个非常早的发行版-即将添加大量随机化和加密功能。 TrevorC2是一种客户端/服务器模型,用于通过通常可浏览的网站屏蔽命令和控制。 随着时间间隔的不同,检测变得更加困难,并且不使用POST请求进行数据提取。 , .'''''. ... ''''', .' ',' ,.MMMM;.;' '. ;; ;MMMMMMMMM; ;;' :'M: ;MMMMMMMMMMM;. :M': :
基础】————6、隐匿攻击之DropBox
Fly_鹏程万里
05-26 985
许多公司使用DropBox作为共享工具和托管数据。因此,对DropBox服务器的流量被限制或归类为恶意域是不常见的。但是,有可能滥用DropBox的功能并将其用作命令和控制工具。 这可以通过DropBoxC2工具实现,该工具使用DropBox API在控制器和植入物之间进行通信,因为它完全在内存中运行并且流量被加密,所以它是隐秘的。 DropboxC2控制器的安装简单快捷。 git clo...
基础】————15、隐匿攻击之Https
Fly_鹏程万里
05-26 681
C2工具通常依赖于各种协议作为通信机制,如DNS,ICMP,HTTPS等。大多数端点产品执行一些深度数据包检查,以便丢弃任意连接。使用支持加密的协议并使用证书固定生成的流量可以规避大部分产品,并且应该将其视为红队参与过程中的一种方法。 ThunderShell由MrUn1k0d3r开发,基于Python。它使用Redis服务器在植入物和服务器之间进行HTTPS通信,并使用PowerShell在目...
基础】————22隐匿攻击之Domain Fronting
Fly_鹏程万里
05-27 1986
0x01 简介 最近看到了一些关于Domain Fronting的技术,感觉很有意思,其特点在于,你真正访问的域名并不是你看到的域名,即可以隐藏攻击者的真实地址,并且此技术能够让我们在一些受限制的网络中依然连接到我们的C2服务器,其关键思想是在不同的通信层使用不同的域名,在HTTP(S)请求中,目标域名通常显示在三个关键位置:DNS查询,TLS(SNI)拓展及HTTP主机头中,通常,这三个地方都...
基础】————19、隐匿攻击之WebSocket
Fly_鹏程万里
05-26 983
在探索可以在红队参与期间使用的日常新方法和工具中特别关注命令和控制通道,这些通道可以逃避安全产品,并可以通过使用非传统方法隐藏流量。Arno0x0x发现某些Web网关不检查Web套接字内容。因此,它可以用作向主机执行任意命令的通信通道。 Arno0x0x开发了一个实现此方法的命令和控制工具(WSC2)。该工具是用python编写的,可以用于数据泄露,因为它提供了文件传输功能和shell功能。 ...
基础】————16、隐匿攻击之Kernel
Fly_鹏程万里
05-26 649
现代环境实施不同级别的安全控制,如端点解决方案,主机入侵防御系统,防火墙和实时事件日志分析。另一方面,红队参与试图逃避这些控制,以避免被发现。但是,大多数工具会通过生成各种事件日志在网络级别或主机级别上产生某种噪声。 RJ Mcdown和约书亚THEIMER已经发布了一个工具叫redsails中间DerbyCon2017年,其宗旨是让红队无需创建任何事件日志或建立新连接执行目标主机上的命令。这...
十三、权限维持
谢小二的博客
06-12 1484
权限维持
Spark性能优化基础:开发与资源调优
"Spark性能优化指南——基础"深入探讨了在大数据计算领域广泛应用的Spark平台,其强大的功能使其在离线批处理、SQL查询、实时流处理、机器学习和图计算等方面表现出色。在美团和大众点评等企业,Spark因其快速执行...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值